Классический «план действий» по защите персональных данных для предприятий. Докладчик - Плетнёв Павел.

Классический план действий. 1Инвентаризация информационных систем, выявление информационных систем ПД. Формирование перечней персональных данных. 2Классификация информационных систем персональных данных 3Корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений 4 Понижение класса информационной системы 5Уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных 6Документальное регламентирование работы с персональными данными 7Формирование модели угроз персональным данным, технического задания и проекта. 8 Снижение затрат на приобретение технических средств защиты информации 9Закупка средств защиты 10Ограничение доступа работников предприятия и пользователей информационной системы к персональным данным 11Приведение системы защиты персональных данных в соответствие с требованиями регуляторов 12Выполнение комплексных работ по технической защите конфиденциальной информации 13Аттестация (сертификация) информационной системы персональных данных 14Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирования не инциденты информационной безопасности

Проведение аудита безопасности на предприятии. Основными целями информационного обследования подсистем АС являются: классификация информационной системы обрабатывающей ПД инвентаризация ресурсов подсистем АС и подготовка материалов для разработки необходимых организационно- распорядительных документов («Перечня сведений, подлежащих защите» в АС ОРГАНИЗАЦИИ, формуляров ресурсов (АРМ, задач, программных средств) и списков пользователей для включения в «Планы защиты» конкретных подсистем АС и т.д.); сбор и подготовка данных для оценки эффективности применяемых мер и средств защиты информации (организационных, физических, технических) в подразделениях и разработки предложений и рекомендаций по совершенствованию системы защиты информации от НСД в конкретных подсистемах АС.

Проведение классификации персональных данных на предприятии. Х ПД Х ПДН 321 категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1 Коэффициент ХПДН может принимать следующие значения: - 1 – в ИСПДн одновременно обрабатываются ПДн более чем субъектов ПДн…; - 2 – в ИСПДн одновременно обрабатываются ПДн от до субъектов ПДн; - 3 – остальные случаи

4 класс Это обезличенная информация, независимо от количества персонифицированных записей.

3 класс Это персональные данные о не более чем субъектах, позволяющие идентифицировать субъекта персональных данных. Это персональные данные о не более чем 1000 субъектах, позволяющие не только идентифицировать субъекта, но и получить дополнительную информацию о нём.

2 класс Это персональные данные о более чем субъектах, позволяющие идентифицировать субъекта персональных данных. Это персональные данные о более чем 1000, но менее чем субъектах, позволяющие не только идентифицировать субъекта, но и получить дополнительную информацию о нём.

1 класс Это персональные данные о более чем субъектах, позволяющие не только идентифицировать субъекта персональных данных, но и получить дополнительную информацию о нём. Это персональные данные о любом количестве субъектов, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

Понижение класса ИСПДн Определение предельных сроков и условий прекращения обработки ПД Разделение баз данных Ведение не персонифицированных идентификаторов Хранение только необходимой информации и др.

Подача уведомления об обработке персональных данных. До конца 2008 года всем операторам персональных данных необходимо зарегистрироваться! Уведомления необходимо направлять по территориальному признаку по следующим адресам: Управление Роскомнадзора по Республике Алтай Коммунистический проспект, д.61, г. Горно-Алтайск, Управление Роскомнадзора по Алтайскому краю Интернациональная ул., д.72, г. Барнаул, Форма уведомления и рекомендации находятся: 1) Приложения 1 и 2 нашего методического пособия 2) Сайт Россвязькомнадзора

Классический план действий. 1Инвентаризация информационных систем, выявление информационных систем ПД. Формирование перечней персональных данных. 2Классификация информационных систем персональных данных 3Корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений 4 Понижение класса информационной системы 5Уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных 6Документальное регламентирование работы с персональными данными 7Формирование модели угроз персональным данным, технического задания и проекта. 8 Снижение затрат на приобретение технических средств защиты информации 9Закупка средств защиты 10Ограничение доступа работников предприятия и пользователей информационной системы к персональным данным 11Приведение системы защиты персональных данных в соответствие с требованиями регуляторов 12Выполнение комплексных работ по технической защите конфиденциальной информации 13Аттестация (сертификация) информационной системы персональных данных 14Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирования не инциденты информационной безопасности

Что делать? 1.Воспользоваться консалтинговыми услугами сторонней компании – Аудит информационной безопасности. 2.Выполнить данные этапы самостоятельно – не лицензируется.

Документальное регламентирование работы с ПД Приказ 1 (3 приложения) Приказ «Об организации работы по защите конфиденциальной информации и персональных данных» Приложение 1 – Перечень сведений конфиденциального характера Приложение 2 – Перечень защищаемых информационных ресурсов Приложение 3 – Инструкция по обращению с носителями конфиденциальной информации Ссылка на Журнал проведения инструктажа по информационной безопасности Ссылка на Обязательство о неразглашении сведений конфиденциального характера Ссылка на Политику информационной безопасности

Документальное регламентирование работы с ПД Приказ 2 (5 приложений) Приказ «Об организации работы с персональными данными» Ссылка на Согласие на обработку персональных данных Приложение 1 – Положение о персональных данных Ссылка на Журнал регистрации запросов субъектов персональных данных на предоставление доступа к своим персональным данным Приложение 2 – Список лиц, имеющих доступ к персональным данным Приложение 3 – Перечень помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения

Документальное регламентирование работы с ПД Приложение 4 – Список лиц, ответственных за организацию защиты конфиденциальной информации и за разработку, проведение мероприятий, направленных на выполнение требований законодательства и других нормативных документов в области персональных данных Ссылка на Журнал учета мероприятий по контролю за исполнением правил обработки персональных данных Ссылка на Журнал учета организационно-распорядительных документов по защите информации Ссылка на Журнал учета приказов по защите информации Приложение 5 – Состав комиссии по классификации информационных систем персональных данных и автоматизированных систем

Документальное регламентирование работы с ПД Политика информационной безопасности Ссылка на Инструкцию о порядке ТО Ссылка на Инструкцию по работе пользователя Ссылка на Инструкцию по проведению антивирусного контроля Ссылка на Инструкцию по организации парольной защиты в АС Ссылка на Перечень разрешенного к использованию в АС ПО Ссылка на Должностные обязанности программиста Ссылка на Должностные обязанности администратора информационной безопасности Ссылка на Описание технологического процесса обработки информации на объекте информатизации автоматизированной системы

Документальное регламентирование работы с ПД Инструкция о порядке ТО Ссылка на Журнал проверки исправности и технического обслуживания Инструкция по работе пользователя Инструкция по проведению антивирусного контроля Инструкция по организации парольной защиты в АС Ссылка на Журнал учета паролей Ссылка на Журнал учета выдачи электронных идентификаторов Журнал регистрации запросов субъектов персональных данных на предоставление доступа к своим персональным данным Журнал учета паролей Журнал проведения инструктажа по информационной безопасности

Документальное регламентирование работы с ПД Журнал проверки исправности и технического обслуживания Журнал учета выдачи электронных идентификаторов Журнал учета организационно-распорядительных документов по защите информации Журнал учета приказов по защите информации Журнал учета мероприятий по контролю за исполнением правил обработки персональных данных Обязательство о неразглашении сведений конфиденциального характера Согласие на обработку персональных данных Перечень разрешенного к использованию в АС ПО Акт классификации ИСПДн Акт классификации автоматизированной системы

Документальное регламентирование работы с ПД Модель нарушителя АС Модель угроз Технический проект СЗИ АС Технический задание СЗИ АС Технический паспорт на АС Должностные обязанности программиста Должностные обязанности администратора информационной безопасности Список постоянных пользователей АС Описание технологического процесса обработки информации на объекте информатизации автоматизированной системы Приложение - План размещения АРМ, на которых осуществляется обработка персональных данных Ссылка на Список постоянных пользователей АС Ссылка на Перечень разрешенного к использованию в АС ПО

Снижение затрат! Переход на терминальные режимы работы Виртуализация серверов Сегментирование сетей Приобретение только необходимых средств защиты и др.

Классический план действий. 1Инвентаризация информационных систем, выявление информационных систем ПД. Формирование перечней персональных данных. 2Классификация информационных систем персональных данных 3Корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений 4 Понижение класса информационной системы 5Уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных 6Документальное регламентирование работы с персональными данными 7Формирование модели угроз персональным данным, технического задания и проекта. 8 Снижение затрат на приобретение технических средств защиты информации 9Закупка средств защиты 10Ограничение доступа работников предприятия и пользователей информационной системы к персональным данным 11Приведение системы защиты персональных данных в соответствие с требованиями регуляторов 12Выполнение комплексных работ по технической защите конфиденциальной информации 13Аттестация (сертификация) информационной системы персональных данных 14Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирования не инциденты информационной безопасности

Что делать? 1.Воспользоваться консалтинговыми услугами сторонней компании – Разработка документации. 2.Выполнить данные этапы самостоятельно – не лицензируется.

Классический план действий. 1Инвентаризация информационных систем, выявление информационных систем ПД. Формирование перечней персональных данных. 2Классификация информационных систем персональных данных 3Корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений 4 Понижение класса информационной системы 5Уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных 6Документальное регламентирование работы с персональными данными 7Формирование модели угроз персональным данным, технического задания и проекта. 8 Снижение затрат на приобретение технических средств защиты информации 9Закупка средств защиты 10Ограничение доступа работников предприятия и пользователей информационной системы к персональным данным 11Приведение системы защиты персональных данных в соответствие с требованиями регуляторов 12Выполнение комплексных работ по технической защите конфиденциальной информации 13Аттестация (сертификация) информационной системы персональных данных 14Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирования не инциденты информационной безопасности

Что делать? 1.Закупка средств защиты у лицензиата ФСБ.

Запуск и апробация работы комплекса из технических и организационных средств защиты ПД. Пусконаладочные работы технических средств защиты специалистами, имеющими право на их распространение и обслуживание. Внедрение документации и организационных процессов в технологическую цепочку обработки персональных данных.

Классический план действий. 1Инвентаризация информационных систем, выявление информационных систем ПД. Формирование перечней персональных данных. 2Классификация информационных систем персональных данных 3Корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений 4 Понижение класса информационной системы 5Уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных 6Документальное регламентирование работы с персональными данными 7Формирование модели угроз персональным данным, технического задания и проекта. 8 Снижение затрат на приобретение технических средств защиты информации 9Закупка средств защиты 10Ограничение доступа работников предприятия и пользователей информационной системы к персональным данным 11Приведение системы защиты персональных данных в соответствие с требованиями регуляторов 12Выполнение комплексных работ по технической защите конфиденциальной информации 13Аттестация (сертификация) информационной системы персональных данных 14Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирования не инциденты информационной безопасности

Что делать? 1.Обратится к Лицензиату ФСТЭК для пуско-наладки технических средств защиты информации.

Аттестация Состоит из: Аттестационных испытаний Разработки аттестационной документации Выдачи Аттестата при наличии положительного заключения Под аттестацию попадают ИСПДн: –1 класс - обязательная аттестация; –2, 3 класс – по выбору оператора ИСПДн декларирование соответствия или аттестация;

Классический план действий. 1Инвентаризация информационных систем, выявление информационных систем ПД. Формирование перечней персональных данных. 2Классификация информационных систем персональных данных 3Корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений 4 Понижение класса информационной системы 5Уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных 6Документальное регламентирование работы с персональными данными 7Формирование модели угроз персональным данным, технического задания и проекта. 8 Снижение затрат на приобретение технических средств защиты информации 9Закупка средств защиты 10Ограничение доступа работников предприятия и пользователей информационной системы к персональным данным 11Приведение системы защиты персональных данных в соответствие с требованиями регуляторов 12Выполнение комплексных работ по технической защите конфиденциальной информации 13Аттестация (сертификация) информационной системы персональных данных 14Эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирования не инциденты информационной безопасности

Что делать? 1.Обратится к Лицензиату ФСТЭК на деятельность по технической защите конфиденциальной информации за получением аттестата соответсвия.

Лицензия ФСТЭК на деятельность по технической защите конф. инф. Статья Незаконная деятельность в области защиты информации Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа … на должностных лиц - от 20 до 30 МРОТ с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот МРОТ с конфискацией средств защиты информации или без таковой.

Большое спасибо за внимание! Вопросы? Докладчик - Плетнёв Павел. Тел \